3月21日,瑞星公司發布紅色(一級)安全警報。近期,一個名為“磁碟機(Worm.Win32.Diskgen)”病毒正在網上肆虐,其危險程度正在加強。該病毒會試圖關閉各種殺毒軟件,並自動下載幾十種盜號木馬病毒,給網民帶來極大的損失。瑞星安全專家表示,該病毒的查殺難度超過“熊貓燒香”,截至3月20日,被“磁碟機”感染的電腦已達數十萬台。
根據監測和技術分析,瑞星安全專家認為,“磁碟機”病毒是一個具有明確經濟目的的病毒犯罪團伙所為,他們借鑒了已經被逮捕的“熊貓燒香”病毒團伙的犯罪經驗,非常狡猾,在病毒制造、傳播和躲避偵查等方面都下足了功夫。瑞星公司已將掌握的相關資料上報給公安部門。
針對目前嚴峻的安全形勢,瑞星公司宣布,將向所有受害網民派發瑞星殺毒軟件2008版,用戶可以登陸瑞星官方網站(www.rising.com.cn)下載,並免費使用一個月。
作為國內唯一具備“智能主動防御”功能的殺毒軟件,“瑞星殺毒軟件2008版”可以有效對抗該病毒的攻擊,針對此病毒的攻擊行為進行了重點防御,使病毒無法攻擊得手;當病毒運行時,瑞星“智能主動防御”所獨有的惡意行為分析技術,還可以在系統底層攔截此病毒的惡意行為,使其無法進行任何破壞,是目前防御“磁碟機”病毒的最有效工具。
瑞星反病毒專家表示,“磁碟機”病毒來勢凶猛,染毒症狀比較容易辨認:殺毒軟件被關閉,屏幕右下方的監控狀態圖標改變;中毒計算機無法進入安全模式,進入安全模式時會藍屏;系統文件被強行設置為隱藏狀態。如果出現上述現象,則您的電腦可能已被“磁碟機”病毒感染,請下載安裝瑞星殺毒軟件2008(免費一個月,www.rising.com.cn),對中毒電腦進行徹底查殺。
瑞星殺毒軟件用戶升級到最新版本(20.36.32版以上),即可全面防御、查殺該病毒。
五招分辨磁碟機病毒:
1、某些殺毒軟件和安全軟件無法運行,被強行關閉,或者打開後有被“分屍”的現象
工具軟件Sreng被病毒破壞後
2、安全模式被破壞。用戶試圖進入安全模式時,顯示的是藍屏,這是由於病毒刪除了與安全模式相關的注冊表鍵導致。
3、無法正常顯示隱藏文件,且工具-文件夾選項下的“隱藏受保護的操作系統文件”一項被破壞。
4、打開任務管理器,會發現兩個lsass.exe和smss.exe進程
5、使用Winrar可以發現如下病毒文件。
以下是引用片段:
%systemroot%system32comlsass.exe
%systemroot%system32comsmss.exe
%systemroot%system32comnetcfg.dll
%systemroot%system32comnetcfg.000
“磁碟機”病毒技術分析概要
該病毒使用了rootkits技術,可以從系統底層卸載殺毒軟件的鉤子,同時會釋放自己的驅動,這樣就會使殺毒軟件的監控失效,無法查殺病毒。同時,病毒還會頻繁查找殺毒軟件的程序窗口,強行將其關閉。那些沒有使用智能主動防御技術的殺毒軟件,很容易被此病毒破壞無法運行。
病毒運行後,會在C盤根目錄下釋放病毒驅動NetApi000.sys,該驅動用來恢復SSDT,把殺毒軟件掛的鉤子全部卸掉。這樣,殺毒軟件的很多功能將無法使用,如文件監控、注冊表監控等。同時,病毒會在系統裡釋放smss.exe等病毒文件,實現進程保護,使殺毒軟件很難徹底查殺。
除了關閉殺毒軟件之外,磁碟機病毒還會從http://**.c0mo.com、http://**.k0102.com等網站下載數十個木馬盜號病毒,試圖竊取用戶的網游賬號裝備、網銀密碼等私密信息。